Nieuws
image

Legitieme websites gevaarlijker dan sites van hackers

woensdag 23 januari 2008, 12:09 door Redactie, 8 reacties

Consumenten die legitieme websites bezoeken hebben meer kans om geïnfecteerd met malware te raken dan met speciaal ontwikkelde websites van virusschrijvers het geval is. Volgens Websense was vorig jaar meer dan de helft (51%) van alle websites die malware verspreidde een gehackte legitieme website. Het grote voordeel voor computercriminelen is dat deze sites veel bezoekers krijgen en die bezoekers mogelijk niet de laatste updates geïnstalleerd hebben.

De beveiliger schat dat er op elk moment twee miljoen websites online zijn die bezoekers proberen te infecteren, waarvan dus 51% legitieme sites zijn. Andere beveiligingsbedrijven voorspelden vorig jaar dat in 2008 het aantal gevaarlijke legitieme websites de overhand zou krijgen, en die voorspelling lijkt uit te komen. Zo werden begin januari meer dan 100.000 sites via SQL-injectie gehackt, waarna bezoekers naar een kwaadaardige pagina werden doorgestuurd. Vorige week werd BusinessWeek het doelwit, en infecteerde het bezoekers met een Trojaans paard. Aanvallers hebben naast het hacken van websites ook de mogelijkheid om bezoekers via banners te besmetten.

Google vergroot probleem
Het niet updaten van websites, waardoor aanvallers een kans krijgen iFrames en andere ellende te injecteren, word veroorzaakt doordat de beheerders niet op tijd patchen. Via Google is het voor een aanvaller vrij eenvoudig te achterhalen welke sites een lekke software versie draaien. "Webmasters die de kwetsbaarheden van hun websites op deze manier presenteren worden als Googledorks bestempeld" zegt Brian Krebs van de Washington Post.

"Wat aanvallers doen is bijhouden welke webhosters traag zijn met het offline halen van phishing of malware sites. Ze houden bij welke webhosters niet in het weekend bereikbaar zijn, of die personeel in dienst hebben die geen Engels spreken", gaat Dan Hubbard van Websense verder.

Reacties (8)
23-01-2008, 12:31 door Anoniem
"Volgens Websense was vorig jaar meer dan de helft (51%) van
alle websites die malware verspreidde een gehackte legitieme
website."

En dat wil wat precies zeggen? Dat legitieme websites
onveilig zijn? Er zijn veruit meer ongehackte legitieme
sites dan gehackte. Het is dan ook nog steeds veiliger om
niet op een speciale malware verspreid site te komen.

Als je niets van statistiek begrijpt, moet je er ook geen
uitspraken als "Legitieme websites gevaarlijker dan sites
van hackers" op baseren.
23-01-2008, 12:47 door Anoniem
Hoezo hebben jullie het over "sites van hackers" ? Immers is het onzin om
te veronderstellen dat hackers per definitie bezig zijn met het maken of
verspreiden van malware, of dat mensen die zich met dat soort zaken
bezig zijn per definitie hackers zijn.

Ook wordt over het hoofd gezien dat er erg veel hackers zijn die helemaal
geen slechte intenties hebben, en waarvan velen werken als experts bij
een bedrijf als Websense Security Labs.

Het is vermoeiend dat het woord hacker in dit soort artikelen wederom in
een negatief daglicht wordt geplaatst, terwijl velen in de IT Security
industrie zichzelf zien als hacker, en juist werken aan een veiliger internet,
en het bestrijden van bijvoorbeeld malware. Op een website als
Security.NL zou ik toch wat meer nuance daarin verwachten.


"De beveiliger schat dat er op elk moment twee miljoen websites online
zijn die bezoekers proberen te infecteren, waarvan dus 51% legitieme
sites zijn."

Met andere woorden, een website van een hacker is dus "niet legitiem",
en bevat per definitie malware ?
23-01-2008, 13:29 door Anoniem
Ik draai al sinds 03-2007 een lekke versie van Joomla, door
de server op de juiste wijze te configureren kunnen
bestaande Joomla exploits niet worden misbruikt.

Een kwestie van de juiste hostingprovider kiezen......

Fred
23-01-2008, 13:42 door spatieman
en ook weten wat je doet, en weten wat je wilt gaan doen met
dergelijke dingen als klant zijnde..
23-01-2008, 21:09 door Anoniem
Hallo allemaal
ik gebruik een programma dat heet ISS
link
http://www.iss.net/blackice/update_center/blackice_pc_protection.html
een SUPER programma, wormen, malware enz enz wordt tegen
gehouden
hier onder een voorbeeld.


Time, Event, Intruder, Count
21-1-2008 19:47:10, UPX_Packed_Executable, 85.255.118.180, 1

This signature detects PE/COFF executable files that have
been packed using the UPX tool. While the presence of a UPX
packed executable does not in itself represent an attack, it
can be considered an anomaly. The UPX tool is commonly used
to pack trojans and malware, while it is somewhat uncommon
for the tool to be used to distribute legitimate
23-01-2008, 23:17 door Anoniem
Door Anoniem
Time, Event, Intruder, Count
21-1-2008 19:47:10, UPX_Packed_Executable, 85.255.118.180, 1

This signature detects PE/COFF executable files that have
been packed using the UPX tool. While the presence of a UPX
packed executable does not in itself represent an attack, it
can be considered an anomaly. The UPX tool is commonly used
to pack trojans and malware, while it is somewhat uncommon
for the tool to be used to distribute legitimate

Dat heet een false positive. De normale versies van UPX zijn volkomen
legitiem en wat ISS doet heet demonisering.

Er zijn UPX varianten die alleen in kringen van malware schrijvers worden
gebruikt en die kun je wel als goede heuristic gebruiken.
23-01-2008, 23:20 door Anoniem
Door Anoniem
Ik draai al sinds 03-2007 een lekke versie van Joomla, door
de server op de juiste wijze te configureren kunnen
bestaande Joomla exploits niet worden misbruikt.

Je bedoelt waarschijnlijk dat je geen tool kunt vinden die werkt op jouw
systeem. Da's wat anders.

Je kon vroeger IIS 3.0 ook "beveiligen" door alle paden te veranderen en
wat functies uit te zetten. Dat voorkwam inderdaad 95% van alle
hackpogingen. De pijn zit hem uiteraard in de resterende 5%.
24-01-2008, 23:36 door Anoniem
Door Anoniem
Door Anoniem
Ik draai al sinds 03-2007 een lekke versie van Joomla, door
de server op de juiste wijze te configureren kunnen
bestaande Joomla exploits niet worden misbruikt.

Je bedoelt waarschijnlijk dat je geen tool kunt vinden die
werkt op jouw
systeem. Da's wat anders.

Je kon vroeger IIS 3.0 ook "beveiligen" door alle
paden te veranderen en
wat functies uit te zetten. Dat voorkwam inderdaad 95% van alle
hackpogingen. De pijn zit hem uiteraard in de resterende 5%.

Ik kan je constateringen waarderen en niet weerleggen, het
klopt idd. dat ik en vele met mij niet in staat zijn
gebleken een tool te vinden of te schrijven om tot een
succesvolle hack van mijn site/server te komen.
Wellicht vanwege het feit dat "ik" Apache op Linux draai dat
sinds jaar en dag vele malen beter te
beveiligen/configureren is dan een IIS server.
Dat je over IIS in het verleden praat geeft aan dat ook jij
weinig vertrouwen hebt in IIS. Kenmerkend daarin is dat je
ook in het verleden spreekt over de beveiliging van IIS, die
5% is nu 50%.....?

Mijn site word dagelijks aangevallen met scripts/tools die
ieder bekend Joomla (en/of module) exploit proberen te
misbruiken, geen enkele poging is de afgelopen 5 jaar
succesvol geweest. (de 3 jaren daarvoor moest ik bijna
iedere maand aan de slag na een hack)
Mijn huidige hostingprovider (mevershosting.nl) is voor mij
"bullitproof" gebleken. Dit baseer ik op de kennis die ik de
afgelopen 5 jaren heb opgedaan met dit bedrijf en dat ik
probleemloos Php-nuke, Xoops, Mambo heb gebruikt en nu een
lekke versie van Joomla draai zonder enig probleem.
En geloof mij, het waren niet allemaal scriptkiddo's die een
poging waagden om mijn site/server te hacken.

Ik ben er wel van overtuigd dat het 'lek' nog gevonden
moet/kan worden en ook mijn site ooit 'aan de beurt' zal
komen. Een kwestie van tijd wellicht..?
Niets is zeker...!! (met uitzondering van het feit dat we
allemaal op een dag zullen sterven.)

Hint1:
http://www.techworld.nl/article/3631/watchmouse-apache-is-beter-dan-iis.html
Hint2:
http://erwin.terong.com/2001/12/25/migrating-asp-from-microsoft-iis-to-linux/
Hint3:
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search